证书的生成

        我们在上篇博客里提到,要获得对方信任的公钥,就要通过CA来颁发证书,

证书里通常包含如下信息:

      证书持有者的信息,

      CA的相关信息

      证书的使用说明

      公钥

         在linux中与CA相关的信息在/etc/pki目录下,里面有CA,nssdb,rpm-gpg,tls,CA目录就是我们在当前创建CA所要依赖的目录,tls目录是openssL的配置文件存放目录,要在此文件中修改CA的相对路径为绝对路径。

         在CA目录中会看到private目录,这个目录是存放CA自己的私钥的,为了证书的规范,我们还要在CA目录下创建一些文件和目录:
            mkdir certs crl newcerts
             touch index.txt serial
             echo 02 > serial
生成私钥命令:(umask 077; openssl genrsa 1024 > private/cakey.pem)
签发证书:
            openssL req -new -x509 -key private/cakey.pem -out cert.pem -days 365
        之后需要填写相关信息,国家,省份,单位等
在客户端,要申请一个证书,首先要把自己的信息准备好,创建一个目录:

            mkdir -pv /etc/httpd/ssl,进入ssl目录,
   自己先创建一个私钥,命令:
(umask 077; openssl genrsa 1024 > httpd.pem),其实目录可以自定。
   向CA申请证书:
             openssL req -new -key httpd.pem -out httpd.csr
       这时候,将生成的证书文件发送给CA,让CA签证:
               openssl CA -in httpd.csr -out httpd.crt
        生成后,就可以将httpd.crt这个签名后的有效证书颁发给客户端了
如果要吊销证书,则在CA上实施命令:openssl CA -revoke httpd.crt就可以了
好了,证书大体上也基本如此了,我们自己的证书没有那么高的权威,所以,在自己公司用就ok了,呵呵!